zoukankan      html  css  js  c++  java

  • 什么XSS攻击?PHP防止XSS攻击函数

    XSS 全称为 Cross Site Scripting,用户在表单中有意或无意输入一些恶意字符,从而破坏页面的表现!

    看看常见的恶意字符XSS 输入:

    1.XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框:<script>alert("XSS");</script>

    2.XSS 输入也可能是 HTML 代码段,譬如:

    (1).网页不停地刷新 <meta http-equiv="refresh" content="0;">

    (2).嵌入其它网站的链接 <iframe src=http://xxxx width=250 height=250></iframe>

    防止XSS攻击测试路径:
    什么XSS攻击?PHP防止XSS攻击函数
    其实有很多测试XSS攻击的工具:

    • Paros proxy (http://www.parosproxy.org)
    • Fiddler (http://www.fiddlertool.com/fiddler)
    • Burp proxy (http://www.portswigger.net/proxy/)
    • TamperIE (http://www.bayden.com/dl/TamperIESetup.exe)

    对于PHP开发者来说,如何去防范XSS攻击呢?(php防止xss攻击的函数

    可以用如下函数:

    <?PHP
    /**
     * @blog http://www.phpddt.com
     * @param $string
     * @param $low 安全别级低
     */
    function clean_xss(&$string, $low = False)
    {
    if (! is_array ( $string ))
    {
    $string = trim ( $string );
    $string = strip_tags ( $string );
    $string = htmlspecialchars ( $string );
    if ($low)
    {
    return True;
    }
    $string = str_replace ( array ('"', "\", "'", "/", "..", "../", "./", "//" ), '', $string );
    $no = '/%0[0-8bcef]/';
    $string = preg_replace ( $no, '', $string );
    $no = '/%1[0-9a-f]/';
    $string = preg_replace ( $no, '', $string );
    $no = '/[x00-x08x0Bx0Cx0E-x1Fx7F]+/S';
    $string = preg_replace ( $no, '', $string );
    return True;
    }
    $keys = array_keys ( $string );
    foreach ( $keys as $key )
    {
    clean_xss ( $string [$key] );
    }
    }
    //just a test
    $str = 'phpddt.com<meta http-equiv="refresh" content="0;">';
    clean_xss($str); //如果你把这个注释掉,你就知道xss攻击的厉害了
    echo $str;
    ?>
     
    通过clean_xss()就过滤了恶意内容!
  • 相关阅读:
    Adodb.recorset中Field字段的属性及意义
    郁闷的新一篇
    最近身体越来越差了。。。
    成事在天,谋事在人
    我要带我老婆去看看机场...
    Javascript 时间比较
    同步异步传输
    使用WSPBuilder 生成wsp文件,部署,激活,使用
    动态添加SqlParameter
    C#几种排序方法
  • 原文地址:https://www.cnblogs.com/liluxiang/p/9456041.html
Copyright © 2011-2022 走看看